-
Gesamte Inhalte
356 -
Benutzer seit
-
Letzter Besuch
Inhaltstyp
Profile
Forum
Downloads
Kalender
Blogs
Shop
Beiträge von EdwinMosesPray
-
-
Hallo
Ich PERSÖNLICH finde die Webseite nicht gut. Mal abgesehen davon, dass ich kein Gamer bin, nenne ich dir auch meine Gründe:
1) Du benutzt ein Hilfsmittel, um eine Webseite zu erstellen (meta name="generator" content="WordPress 3.1.3"). Nicht dass ich etwas gegen diese Hilfe hätte, nur PERSÖNLICH benutze ich sie nicht. Sie produzieren mir zuviel Overhead im Quelltext und machen durch sinnfreie class-id's das Ganze unübersichtlich. Trotz Verwendung von css-classes, finde ich bei dir im Quelltext unschöne Stellen (div class="acc_con" style="background: url(http://www.programme.info/wp-content/....jpg )").
2) Eine Überprüfung mit einem HTML Validator (automatic detect) ergab auf der Startseite:
Errors found while checking this document as HTML5!
Result: 11 Errors, 6 warning(s)
Im CSS sind auch Fehler
3) Du verwendest vorgefertigte Themes/Styles. Das ist keine große Kunst, die es hier zu Würdigen gäbe. Theme/Style aussuchen, anklicken, (kopierten) Text einfügen, fertig.
4) Meine Auflösung beträgt 1024x768 auf einem 20" TFT-Bildschirm. Jede Seite die ich anklicke, sehe ich immer nur das Logo, das Search-Feld und diese Bilder-Kollage. Um an die Informationen zu kommen, muss ich nach unten scrollen. Mich PERSÖNLICH nervt das.
5) In dieser Kollage steht groß "Games – Termine im August 2011". Wo finde ich die? Nach langen Suchen ganz unten rechts gefunden bei den Schlagwörtern unter "Games". Anklicken und wieder nach unten scrollen. Ich PESÖNLICH mag es nicht, wenn ich umständlich etwas suchen muss.
6) Harte Keywörter (meta name="keywords" content="Software Magazine, Software, Programme,") *kicher*
... soll ich weiter machen?
Hier im Forum bist du unfreundlich, nicht kritikfähig und von dir selbst überzeugt. Eine Webseite mit ein paar Klicks zusammen stellen ist keine Kunst. Die Werbung mit Adsense und wieviel Geld du verdienst, ekelt mich an. Ich habe mehrere Webseiten von HAND erstellt. Dort wirst du keine Werbung finden, die dich erschlägt oder belästigt.
Also bei mir glatt durchgefallen.
Gute Nacht
Frank M.
-
Hallo
Ich hatte vor einiger Zeit mal Probleme mit dem Vollduplex-Modus. Das ging dann ultra langsam. Vollduplex geht nur, wenn alle Komponenten Vollduplex können und hochwertig sind. Ich kenne die FritzBox nur vom Hörensagen, hatte aber noch nichts damit zu tun. Ob die vollduplexfähig ist, kann ich nicht sagen.
Um das zu testen, schließe mal ein (hochwertiges, z.B. CAT5i) Crossover-Kabel zwischen beide Netzwerkkarten an und schaue, ob die Übertragungsrate besser wird. Teste mit und ohne Vollduplex.
Viel Erfolg
Frank M.
-
Die Ursache: Der Fehler IRQL_not_less_or_equal tritt immer dann auf, wenn ein sogenannter Kernelmode-Prozess oder ein Treiber versucht, in eine Speicheradresse zu schreiben, für die er keine Zugriffsrechte hat. Intern verweist das Programm oder der Treiber auf eine falsche bzw. “verbotene” Speicheradresse.
... oder wenn der Speicher an der Stelle kaputt ist. Wenn Memtest schon Fehler schmeisst liegt es nahe, den Speicher einmal auszutauschen und zu gucken, was dann passiert.
Ein aktueller(er) und vor allem RICHTIGER Treiber für die Grafikkarte wäre dann die nächste Möglichkeit.
Gruß,
Frank M.
-
Hallo Spike
Memtest86 bringt einige Fehler auf beiden Riegeln.Wenn Memtest dir Fehler anzeigt, dann tausche den Speicher aus und schau, ob die Probleme weg sind. Vielleicht reicht ja schon ein neuer 2GB Riegel zum Testen. Sind ja nicht mehr so teuer...
Weiterhin könntest du mit diversen Testprogrammen auch mal Festplatte, CPU und Grafikspeicher (z.B. mit einen Burn-in-Test) durchtesten.
Schau auch mal im Ereignisprotokoll nach. Manche Fehlermeldungen "riechen" förmlich nach Speicherfehler.
Ggf. mal die Grafikkarte tauschen.
Viel Erfolg
Frank M.
-
Hallo
Nachdem ich den (Client-) Rechner wegen einer anderen Geschichte neu installiert habe, scheint es wieder zu funktionieren. Also muss irgendwas blockiert haben. Vielleicht ein anderes Programm?!
Anhang C:
Jun 6 15:44:06 server dhcpd: DHCPDISCOVER from 00:**:**:7d:9d:fb via eth0 Jun 6 15:44:07 server dhcpd: DHCPOFFER on 192.168.213.10 to 00:**:**:7d:9d:fb (workstation) via eth0 Jun 6 15:44:07 server named[659]: client 192.168.213.100#34107: signer "rndc-key" approved Jun 6 15:44:07 server named[659]: client 192.168.213.100#34107: updating zone 'local/IN': adding an RR at 'workstation.local' A Jun 6 15:44:07 server named[659]: client 192.168.213.100#34107: updating zone 'local/IN': adding an RR at 'workstation.local' TXT Jun 6 15:44:07 server dhcpd: Added new forward map from workstation.local to 192.168.213.10 Jun 6 15:44:07 server named[659]: client 192.168.213.100#60309: signer "rndc-key" approved Jun 6 15:44:07 server named[659]: client 192.168.213.100#60309: updating zone 'in-addr.arpa/IN': deleting rrset at '10.213.168.192.in-addr.arpa' PTR Jun 6 15:44:07 server named[659]: client 192.168.213.100#60309: updating zone 'in-addr.arpa/IN': adding an RR at '10.213.168.192.in-addr.arpa' PTR Jun 6 15:44:07 server dhcpd: added reverse map from 10.213.168.192.in-addr.arpa. to workstation.local Jun 6 15:44:07 server dhcpd: Wrote 0 deleted host decls to leases file. Jun 6 15:44:07 server dhcpd: Wrote 0 new dynamic host decls to leases file. Jun 6 15:44:07 server dhcpd: Wrote 4 leases to leases file. Jun 6 15:44:07 server dhcpd: DHCPREQUEST for 192.168.213.10 (192.168.213.100) from 00:**:**:7d:9d:fb (workstation) via eth0 Jun 6 15:44:07 server dhcpd: DHCPACK on 192.168.213.10 to 00:**:**:7d:9d:fb (workstation) via eth0
Gruß,
Frank M.
-
*das_thema_mal_in_den_vordergrund_hol*
Sandro de Ville, ein Sänger aus Dinslaken ('1000 Feuer'), hat seinen Computer in einem Computerladen zur Reparatur abgegeben, in dem ich gerade mein Praktikum machte. Ich reparierte den Rechner und bekam eine Autogrammkarte.
Mariah Carey ist einige Meter von mir entfernt, von Bodyguards begleitet, aus dem Hinterausgang der Duisburger Rhein-Ruhr-Halle zu ihrem Wagen gelaufen.
Wenig später folgten die Weather Girls ('It's Raining Men'). Es regnete und sie hatten keinen Regenschirm. Ich ging auf sie zu und bat mich an, sie (einzeln) unter meinem Regenschirm zum Auto zu begleiten. Als Dankeschön bekam ich ein Autogramm auf meinem Portmonee.
Ireen Sheer war in einem Autohaus und hat dort Autogramme gegeben. Während sie die Autogrammkarte unterschrieben hat, konnte ich ein paar Worte auf englisch mit ihr reden.
Zwei Musikvideos von Alphaville ('Big in Japan' und 'Sounds like a Melody') wurden in der Eissporthalle Dinslaken gedreht. Dort war ich dem Sänger auch recht nahe. Damals (ich war so um die 15 Jahre alt) habe ich mich aber eher für die Technik interessiert. Z.B. wie der Bodennebel mit Trockeneis entsteht...
Gruß,
Frank M.
Nachtrag:
Der BundesNachrichtenDienst (BND) war mal bei mir zu Besuch. Mein Freund wurde überprüft, ob er vertrauenswürdig für einen Spezialjob bei der Bundeswehr ist. Den BND hatte bestimmt auch noch nicht jeder im Haus ;-)
Meine Ex-Freundin war in einer kurzen Doku beim WDR (Lokalzeit Duisburg) der Star.
Den SAT1 - Dönertester Sezer Tuerksoy (siehe Youtube) kenne ich persönlich.
-
Hallo
...haben ihr Windows 7 Home Premium System neu aufgesetzt...Wenn o.g. Vorschläge nicht fruchten, sieht es schlecht aus. VOR dem Neuaufsetzen hättest du die Möglichkeit gehabt. Es gibt Boot-CD's, mit denen man an den Key rankommt, solange das alte System lesbar ist (z.B. C:\WINDOWS).
Statt aber das Problem zu ignorieren und das System neu auf zu setzen würde ich eher nach dem Problem suchen. sonst kann es ja wieder auf tretenSehe ich auch so... Ohne genaue Fehlerbeschreibung ("bootete nicht mehr") ist es natürlich schwierig. Also Speicher überprüfen, Festplatte überprüfen, Board, Controller... alles ist möglich.
Im Zweifelsfall Leergeld zahlen und eine neue (originale) Win7 Home Premium mit CD und Key kaufen.
Viel Erfolg
Frank M.
-
Hallo flashpixx
Danke für deine Antwort.
Komisch ist, dass alles wunderbar funktioniert... mit anderen Clients. Mein 2. Rechner (XP Home SP3), mein Laptop (XP Home SP3) und der Laptop vom Nachbarn (XP Prof SP3). Nur mein Hauptrechner mag nicht. Ich vermute ein Problem mit dem Client, womit das Thema dann eher unter "Windows Betriebssysteme" gehört.
Zu der TLD .local habe ich gerade etwas ge'google'd. In einigen Beiträgen wird auf die .local Problematik hingewiesen. Ich habe dagegen gelernt, diese TLD für lokale Netze zu nutzen. In einer Beispiel-Konfig wurde ebenfalls diese TLD benutzt. Darf ich dass denn nun .local verwenden oder nicht? Welche könnte man denn nehmen, ohne mit anderen TLD's in Konflikt zu geraten?!?
Aber ob nun TLD .local oder nicht, im Prinzip funktioniert meine Konfiguration. Nur eben nicht mit dem einen Rechner. Die reverse Adresse wird aktualisiert... nur nicht die Forward-Zone. Das ist ja das Merkwürdige:
- DHCP wird ordnungsgemäß zugewiesen (IP, TLD, Gateway, DNS-Server, usw)
- Reverse Eintrag wird aktualisiert
- Forward Eintrag nicht(!)
Alle anderen Rechner werden ordnungsgemäß aktualisiert! Ich kanns jetzt nicht zeigen, weil Laptop im ewigen Elektronikhimmel und der 2. Rechner auseinander gepflückt ist. Vielleicht rufe ich den Nachbarn mal nach oben. Dann zeige ich dass es funktioniert.
Die Datei- und Verzeichnisrechte stehen testweise auf 777. Außerdem ist AppArmor deaktiviert/deinstalliert.
Gruß,
Frank M.
Anhang B
Testweise den fest eingetragenen Rechner 'workstation' aus der local.zone gelöscht und DHCP aktualisiert:
Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Dokumente und Einstellungen\admin>ipconfig /all Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : workstation Primäres DNS-Suffix . . . . . . . : local Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert. . . . . . . : Nein WINS-Proxy aktiviert. . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : local local Ethernetadapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: local Beschreibung. . . . . . . . . . . : VIA-kompatibler Fast Ethernet-Adapter Physikalische Adresse . . . . . . : 00-0B-6A-7D-9D-FB DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IP-Adresse. . . . . . . . . . . . : 192.168.213.10 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.213.1 DHCP-Server . . . . . . . . . . . : 192.168.213.100 DNS-Server. . . . . . . . . . . . : 192.168.213.100 Lease erhalten. . . . . . . . . . : Samstag, 21. Mai 2011 16:23:53 Lease läuft ab. . . . . . . . . . : Samstag, 21. Mai 2011 17:23:53 C:\Dokumente und Einstellungen\admin>
-
Hallo Leute.
Ich hoffe, das ist die richtige Rubrik. War am überlegen, hier oder Networking-Technologie.
Ubuntu Linux-Server
- Mainboard mit AMD Athlon 64 3000+
- 2 GB RAM
- 80 GB Maxtor SATA HDD
- IDE DVDROM
- Matrox G400/G450 Grafikkarte
- Onboard und PCI Netzwerkkarte mit RTL8139
- Ubuntu Server 10.04 (aktueller Stand)
- Name: server.local
- Domain: .local
Folgendes Problemchen tritt bei mir auf:
DHCP mit dynamischem DNS Update. Merkwürdigerweise funktioniert die Geschichte bei allen anderen Rechnern (2. PC, mein Laptop, gelegentlich Laptop vom Nachbarn wenn er bei mir oben ist), die sich per DHCP anmelden. Nur mein Hauptrechner 'workstation' zeigt die u.a. Probleme.
Wenn sich ein Rechner per DHCP meldet, bekommt er vom Server eine IP zugewiesen. IP und der Rechnername werden im DNS (forward- und reverse map) eingetragen. Abfragen funktionieren einwandfrei.
Ich kann machen was ich will, mein Hauptrechner 'workstation' bekommt die IP, wird aber NUR(!) in der reverse map eingetragen:
May 21 09:24:14 server dhcpd: DHCPDISCOVER from 00:0b:6a:7d:9d:fb via eth0 May 21 09:24:15 server dhcpd: DHCPOFFER on 192.168.213.10 to 00:0b:6a:7d:9d:fb (workstation) via eth0 May 21 09:24:15 server named[2880]: client 192.168.213.100#36432: signer "rndc-key" approved May 21 09:24:15 server named[2880]: client 192.168.213.100#36432: signer "rndc-key" approved May 21 09:24:15 server named[2880]: client 192.168.213.100#36432: updating zone 'in-addr.arpa/IN': deleting rrset at '10.213.168.192.in-addr.arpa' PTR May 21 09:24:15 server named[2880]: client 192.168.213.100#36432: updating zone 'in-addr.arpa/IN': deleting rrset at '10.213.168.192.in-addr.arpa' PTR May 21 09:24:15 server named[2880]: client 192.168.213.100#36432: updating zone 'in-addr.arpa/IN': adding an RR at '10.213.168.192.in-addr.arpa' PTR May 21 09:24:15 server named[2880]: client 192.168.213.100#36432: updating zone 'in-addr.arpa/IN': adding an RR at '10.213.168.192.in-addr.arpa' PTR May 21 09:24:15 server dhcpd: added reverse map from 10.213.168.192.in-addr.arpa. to workstation.local May 21 09:24:15 server dhcpd: Wrote 0 deleted host decls to leases file. May 21 09:24:15 server dhcpd: Wrote 0 new dynamic host decls to leases file. May 21 09:24:15 server dhcpd: Wrote 4 leases to leases file. May 21 09:24:15 server dhcpd: DHCPREQUEST for 192.168.213.10 (192.168.213.100) from 00:0b:6a:7d:9d:fb (workstation) via eth0 May 21 09:24:15 server dhcpd: DHCPACK on 192.168.213.10 to 00:0b:6a:7d:9d:fb (workstation) via eth0
Wenn ich, egal von welchem Rechner, einen Ping auf 'workstation.local' mache, bekomme ich die Antwort: Unknown host Ich habe versucht: - Leasetime auf 10min bis 1std runter gesetzt (sonst 8 Tage) - alle Leases gelöscht - andere MAC-Adresse auf 'workstation' - feste IP's (server, router, drucker-server, usw.) deaktiviert - 'workstation' rauf und runter gefahren - u.v.m. Die einzige Möglichkeit zurzeit ist, 'workstation' fest einzutragen, damit er beim Ping. bzw bei einer DNS Anfrage gefunden wird. 'workstation' besteht aus: - K7VT6 Mainboard mit Athlon XP 2800+ (Barton) - 2 GB RAM - 40 GB (System) und 200 GB (Backup) Festplatten von Maxtor - nVidia GeForce4 MX 440 with AGP 8x - VIA VT6102 Rhine II Fast Ethernet Adapter (onboard) - Windows XP Home (Single User) V5.01 Build 2600 Service Pack 3 Ich weiss mir keinen Rat mehr. Kennt jemand das Problem? Lieben Gruß, Frank M. Anhang A dhcpd.conf:allow unknown-clients; ddns-updates on; ddns-update-style interim; update-static-leases on; ddns-domainname "local"; include "/etc/dhcp3/rndc.key"; authoritative; default-lease-time 3600; max-lease-time 7200; log-facility local7; subnet 192.168.213.0 netmask 255.255.255.0 { authoritative; range 192.168.213.10 192.168.213.15; option subnet-mask 255.255.255.0; option domain-name-servers 192.168.213.100; option domain-name "local"; option routers 192.168.213.1; next-server 192.168.213.100; zone in-addr.arpa. { primary 192.168.213.100; key "rndc-key"; } zone local. { primary 192.168.213.100; key "rndc-key"; } } [COLOR="red"]... hier die festen IP's für Server, Druckerserver, WLAN-Link, Router und 2. Gateway[/COLOR]
named.conf:include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/rndc.key"; // logging { // category lame-servers {null; }; // category edns-disabled { null; }; // }; zone "." { type hint; file "/etc/bind/root.zone"; }; zone "in-addr.arpa" { type master; file "/etc/bind/local.rev"; allow-update { key "rndc-key"; }; allow-query { 192.168.213.0/24; }; notify no; }; zone "local" { type master; file "/etc/bind/local.zone"; allow-update { key "rndc-key"; }; allow-query { 192.168.213.0/24; }; notify no; };
local.zone:$ORIGIN . $TTL 3600 ; 1 hour local IN SOA local. root.local. ( 1000407 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 604800 ; expire (1 week) 86400 ; minimum (1 day) ) NS 192.168.213.100. $ORIGIN local. $TTL 43200 ; 12 hours drucker A 192.168.213.50 link A 192.168.213.252 packet A 192.168.213.254 router A 192.168.213.1 server A 192.168.213.100 $ORIGIN server.local. mail CNAME server.local. www CNAME server.local. $ORIGIN local. workstation A 192.168.213.10 [COLOR="red"]<= von Hand eingetragen, weils nicht ging[/COLOR]
local.rev:$ORIGIN . $TTL 604800 ; 1 week in-addr.arpa IN SOA local. root.local. ( 1000539 ; serial 604800 ; refresh (1 week) 86400 ; retry (1 day) 2419200 ; expire (4 weeks) 604800 ; minimum (1 week) ) NS 192.168.213.100. $ORIGIN 213.168.192.in-addr.arpa. $TTL 43200 ; 12 hours 1 PTR router.local. $TTL 1800 ; 30 minutes 10 PTR workstation.local. [COLOR="red"]<= automatisch vergeben vom DHCP[/COLOR] $TTL 43200 ; 12 hours 100 PTR server.local. $TTL 1800 ; 30 minutes 222 PTR rapunzel.local. $TTL 43200 ; 12 hours 252 PTR link.local. 254 PTR packet.local. 50 PTR drucker.local.
-
Hallo Darth_Zeus
War ne lange Zeit, die 80er und 90er hehehe
Ab 1986 hatte ich (16) auch einen eigenen Fernseher im Kinderzimmer ;-)
Gruß,
Frank M.
-
Hallo Leut'z
Meine Favoriten waren u.a.:
- Die rote Zora und ihre Bande
- Jack Holborn (Patrick Bach)
- Silas (Patrick Bach)
- Patrik Pacard
- Kimba der weiße Löwe
- Hart aber Herzlich
- Kampfstern Galactica
- Meister Eder und sein Pumuckl
- Luzie der Schrecken der Straße
- Kreisbrandmeister Felix Martin
- Timm Thaler
- Die Besucher
- Airwolf
- Thunderbirds
- Rappelkiste
- Kli Kla Klawitter Bus
- Das feuerrote Spielmobil
- Robbi Tobbi und das Fliwatüt
- Spass am Dienstag (mit Zini das Wuslon)
- Western von Gestern
...viele der schon Genannten (Captain Future, Enterprise, Die dreibeinigen Herrscher, Knightrider, MacGyver, Hallo Spencer, Ein Colt für alle Fälle, usw)
Als IT'ler natürlich:
- Alpha 5 Computerspiel-Show
- WDR Computerclub
- Computerzeit
- Telespiele
...und wie sie alle hießen
Lieben Gruß an die Kinder der 70er und 80er
(und die anderen auch)
Frank M.
-
Hallo
Hersteller: Ford
Modell: Mondeo 1,6l
Fahrzeugtyp: Stufenheck
Baujahr: 1994
Leistung: 90 PS
Farbe: Mitternachts-Blau
Laufleistung: ~309.000km
Im Jahr 2000 mit ~79.000km für 10.500 DM erworben.
Früher hatte ich einen Ford-Escord und einen Citroën BX14 RE.
Führerschein seit 12.04.1989 - unfallfrei toi toi toi
-
Es handelt sich dabei wie gesagt um eine dynamische Liste. Daher muss die eine eigene Chain bekommen. Diese wird alle 30 Minuten geleert und neu gefüllt.
Ich habe das gerade an meinem eigenen Linux-Server getestet. Folgendes habe ich heraus gefunden:
> Du kannst 'iptables -N THOR_EXIT' in dein normales Script reinschreiben. Damit erstellst du die Chain.
> In dein 30min Script schreibst du als Erstes 'iptables -F THOR_EXIT'. Das löscht alle Einträge der Chain
> Dann fügst du die neuen Regeln mit 'iptables -I THOR_EXIT ..... -j DROP' ein.
Ich hoffe das klappt automatisch
Chain fail2ban-apache-noscript (0 references)Die Chain 'fail2ban-apache-noscript' hat 0 Einträge (Regeln ala INPUT .... -j DROP).
Gruß,
Frank M.
-
Hallo king555
Ist es dabei egal, ob eine Regel ein ACCEPT oder ein DROP (oder REJECT) angibt? Ist die Kette nach Zutreffen eines Eintrags definitiv beendet?Was soll denn danach noch mit dem Paket passieren? Das Paket wird akzeptiert und durchgelassen (ACCEPT) oder es wird nicht akzeptiert und ignoriert (DROP) oder es wird nicht akzeptiert und der Absender bekommt eine Rückmeldung, dass es nicht akzeptiert wurde (REJECT). Willst du ein nicht akzeptiertes Paket nochmal untersuchen lassen?! Es wird abgelehnt und fertig oder es wird durchgelassen und fertig. Wie beim Türsteher "Du kommst hier net rein".
Und was ist denn mit den limit-Befehlen?LIMIT bedeutet, dass BIS zum Limit alles durchgelassen wird. Beim Erreichen des Limits werden die Pakete abgelehnt/verworfen/ignoriert. Wenn du sagst, 1 Ping pro Sekunde ist OK, dann geht auch nur 1 Ping pro Sekunde durch. Kommen zwei oder mehr Pings innerhalb der Sekunde an, werden diese Pakete verworfen/ignoriert.
Werden die LOG-Befehle immer ausgeführt? Denn die stehen ja NACH den ACCEPTs oder DROPs.In meinem Beispiel oben werden NUR die Pakete ins Log geschrieben, die durch die Firewall durchfallen. Das heisst, wenn keine Regel greift. Wie ich dir oben auch mal gesagt habe, stell dir bitte ein beliebiges TCP/IP-Paket vor und gehe die Regeln Zeile für Zeile durch:
1 Beispiel (Verbindungsaufbau mit deinem nicht vorhandenen MySQL-Server):
eth0: 80.23.117.8 => deine IP => Quellport 15390 => Zielport 3306 => TCP => SYN
[COLOR="green"]iptables -A INPUT -i lo -o lo -j ACCEPT[/COLOR] #Paket kommt über eth0 rein [COLOR="green"]iptables -A INPUT -s 46.4.0.0/16 -j DROP[/COLOR] #Paket fängt nicht mit 46.4.x.x an [COLOR="green"]iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT[/COLOR] #Paket ist kein Ping [COLOR="green"]ipables -A INPUT -p tcp --dport 8443 -j ACCEPT[/COLOR] #Zielport ist nicht 8443 [COLOR="green"]iptables -A INPUT -p tcp --dport 8880 -j ACCEPT[/COLOR] #Zielport ist nicht 8880 [COLOR="green"]iptables -A INPUT -p tcp --dport 80 -j ACCEPT[/COLOR] #Zielport ist nicht 80 [COLOR="green"]iptables -A INPUT -p tcp --dport 443 -j ACCEPT[/COLOR] #Zielport ist nicht 443 [COLOR="green"]iptables -A INPUT -p tcp --dport 20 -j ACCEPT[/COLOR] #Zielport ist nicht 20 [COLOR="green"]iptables -A INPUT -p tcp --dport 21 -j ACCEPT[/COLOR] #Zielport ist nicht 21 [COLOR="green"]iptables -A INPUT -p tcp --dport 22 -j ACCEPT[/COLOR] #Zielport ist nicht 22 [COLOR="green"]iptables -A INPUT -p tcp --dport 587 -j ACCEPT[/COLOR] #Zielport ist nicht 587 [COLOR="green"]iptables -A INPUT -p tcp --dport 25 -j ACCEPT[/COLOR] #Zielport ist nicht 25 [COLOR="green"]iptables -A INPUT -p tcp --dport 465 -j ACCEPT[/COLOR] #Zielport ist nicht 465 [COLOR="green"]iptables -A INPUT -p tcp --dport 110 -j ACCEPT[/COLOR] #Zielport ist nicht 110 [COLOR="green"]iptables -A INPUT -p tcp --dport 995 -j ACCEPT[/COLOR] #Zielport ist nicht 995 [COLOR="green"]iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT[/COLOR] #Paket ist keine Antwort auf ein ausgehendes Paket [COLOR="red"][B]iptables -A INPUT -j LOG --log-prefix "Firewall drop (INPUT): "[/B][/COLOR] #Paket wird geloggt [B]Ich bin mir nicht sicher, ob bei -j LOG die Verarbeitung endet !!!![/B]
2. Beispiel (Verbindungsaufbau mit deiner Webseite): eth0: 80.23.117.8 => deine IP => Quellport 15390 => Zielport 80 => TCP => SYN[COLOR="green"]iptables -A INPUT -i lo -o lo -j ACCEPT[/COLOR] #Paket kommt über eth0 rein [COLOR="green"]iptables -A INPUT -s 46.4.0.0/16 -j DROP[/COLOR] #Paket fängt nicht mit 46.4.x.x an [COLOR="green"]iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT[/COLOR] #Paket ist kein Ping [COLOR="green"]ipables -A INPUT -p tcp --dport 8443 -j ACCEPT[/COLOR] #Zielport ist nicht 8443 [COLOR="green"]iptables -A INPUT -p tcp --dport 8880 -j ACCEPT[/COLOR] #Zielport ist nicht 8880 [COLOR="red"][B]iptables -A INPUT -p tcp --dport 80 -j ACCEPT[/B][/COLOR] #Zielport ist 80 Hier endet der Durchlauf, das Paket wird zum Webserver durchgelassen
ALLE ankommenden Pakete, die die Regeln durchlaufen und NICHT zutreffen, werden geloggd. Ich bin mir nicht sicher, ob nach einem -j LOG die Verarbeitung endet! Vermutlich nicht!
Mit dem Schalter -I (Insert) werden Regeln zu deinen bestehenden Firewall-Regeln hinzugefügt. Diese werden meines Wissens on the fly der Tabelle angefügt und dann wie gewohnt durchlaufen.Und wie sorge ich dafür, dass neue (eigene) Chains abgearbeitet werden?
Ich würde die Chain on the fly mit mit dem 30 Minuten Script erstellen. Vorher die 'alten' Daten mit -D löschen! Vielleicht funktioniert zum Löschen auch ein -D THOR_EXITEs handelt sich dabei wie gesagt um eine dynamische Liste. Daher muss die eine eigene Chain bekommen. Diese wird alle 30 Minuten geleert und neu gefüllt.THOR-Script: iptables -D THOR_EXIT iptables -N THOR_EXIT iptables -I ...... iptables -I ......
Und was bedeutet "x references" bei den fail2ban-Chains?Mit fail2ban hatte ich bisher keinen Kontakt. Tut mir leid.
Ich hoffe, ich konnte etwas helfen
Frohe Ostern,
Frank M.
-
Ohne jetzt weitere Hinweise zu haben und ohne Gewähr, würde ich deine Firewall so beginnen:
#!/bin/bash ### Alte Tabelle löschen ### iptables -F ### Policy Einstellungen ### iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -P INPUT DROP ### Localhost ### iptables -A INPUT -i lo -o lo -j ACCEPT ### Grundsaetzliche IP-Bereiche sperren ### iptables -A INPUT -s 46.4.0.0/16 -j DROP iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP # TOR ### Flooding und andere Flags ### # Info ACK, RST, FIN sind wichtig für die TCPIP Kommunikation !!! # # Ping-Flood begrenzen iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # ### ### INPUT REGELN ### # # HTTP und HTTPS Proxy durchlassen ipables -A INPUT -p tcp --dport 8443 -j ACCEPT iptables -A INPUT -p tcp --dport 8880 -j ACCEPT # # HTTP und HTTPS durchlassen iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT # # FTP und FTP-Data durchlassen iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT # # SSH durchlassen iptables -A INPUT -p tcp --dport 22 -j ACCEPT # # Submission [RFC4409] durchlassen iptables -A INPUT -p tcp --dport 587 -j ACCEPT # # SMTP und SMTPs durchlassen iptables -A INPUT -p tcp --dport 25 -j ACCEPT iptables -A INPUT -p tcp --dport 465 -j ACCEPT # # POP3 und POP3s durchlassen iptables -A INPUT -p tcp --dport 110 -j ACCEPT iptables -A INPUT -p tcp --dport 995 -j ACCEPT # # Connection Tracking iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # # Alles was durchfällt, wird geloggt iptables -A INPUT -j LOG --log-prefix "Firewall drop (INPUT): " # ### ### FORWARD REGELN ### # # Connection Tracking iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # # Alles was durchfällt, wird geloggt iptables -A FORWARD-j LOG --log-prefix "Firewall drop (FORWARD): " # ### ### Forwarding jetzt einschalten ### echo 1 > /proc/sys/net/ipv4/ip_forward ### Tabelle anzeigen ### iptables -L ### Ende ###
-
Eine kleine Hilfe:
In welcher Reihenfolge die Tabellen und Ketten abgearbeitet werden wissen sie nun. Wie aber werden Regeln abgearbeitet? Beim Erstellen von Regeln bekommen diese eine fortlaufende Nummer und werden anhand derer nacheinander abgearbeitet. Wenn nun eine Regel zutrifft wird die Verarbeitung in der entsprechenden Kette beendet.
Quelle: 64-bit.de/dokumentationen/netzwerk/e/002/DE-IPTABLES-HOWTO-3
Gruß,
Frank M.
-
Hallo king555
/sbin/iptables -P INPUT DROP /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Grober Fehler.... '-P INPUT DROP' lässt erstmal nichts zu. Punkt. Nun lässt du ALLES durch, was von innen heraus aufgebaut wird. Somit sind ALLE Antwortpakete von innen initiierter Verbindungen von jeglicher weiteren Filterung ausgeschlossen. Diese Zeile gehört ans Ende der Filterung./sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ... /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Ich wundere mich, dass überhaupt neue Verbindungen rausgehen... dann muss ein Fehler woanders sein./sbin/iptables -A INPUT -m state --state INVALID -j DROP ... /sbin/iptables -A OUTPUT -m state --state INVALID -j DROP ... /sbin/iptables -A FORWARD -m state --state INVALID -j DROP
Unnötig... weil du in den -P Policies schon alles geDROPt hast/sbin/iptables -t mangle -P OUTPUT ACCEPT /sbin/iptables -t mangle -P INPUT ACCEPT /sbin/iptables -t mangle -P FORWARD ACCEPT
??? Hier werden die Policies der Tabelle mangle auf ACCEPT gesetzt...... /sbin/iptables -A INPUT -p udp --dport 137 -j DROP /sbin/iptables -A INPUT -p udp --dport 138 -j DROP /sbin/iptables -A INPUT -p tcp --dport 139 -j DROP /sbin/iptables -A INPUT -p tcp --dport 445 -j DROP ...
Siehe oben. Was durch die Policies geDROPt wird, braucht nicht nochmal geDROPt werden. Doppelt gemoppelt. Nach einem '-P INPUT DROP' brauchst du nur noch angeben, was du durchlassen 'ACCEPT' willst. 137, 138, 139 kannst du abkürzen mit --dport 137:139/sbin/iptables -A INPUT -j ACCEPT /sbin/iptables -A OUTPUT -j ACCEPT
Mega Fehler! ALLES, was oben nicht explizit verboten wurde, wird hier dann wieder durchgelassen!!! Deshalb funktionieren auch ausgehende Verbindungen (siehe oben). Setzt '-P INPUT DROP' und '-P OUTPUT DROP' ausser Kraft.Chain INPUT (policy DROP) ... ACCEPT all -- anywhere anywhere Chain OUTPUT (policy DROP) ... ACCEPT all -- anywhere anywhere
Würde mir als Admin jetzt schlaflose Nächte bereiten!
Die Konfiguration solltest du mal gut überdenken!
Gruß
Frank M.
-
Hallo king555
Ich bin mir nicht sicher, ob das Paket in dem Fall auch dann als "fertig" abgehakt wird. Da es sich um ein ICMP Ping handelt, hat es eh keinen weiteren Nutzen. Spätestens wenn der 2. Ping / sek. kommt, wird es verworfen.
Eine relativ sichere Firewall mit iptables würde etwa so beginnen:
# Policy Einstellungen
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP
Hier ist erstmal der INPUT auf den Firewall Rechner und der FORWARD ins Netz gesperrt. Nun brauchst du dir auch keine Sorgen um ICMP machen ;-)
Jetzt fängst du an die Dienste durchzulassen, die benötigt werden, z.B.:
# Lokales Interface freigeben
iptables -A INPUT -j ACCEPT -i lo
# HTTP - HyperTextTransportProtocol (http / https)
iptables -A INPUT -j ACCEPT -p tcp -m tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp -m tcp --dport 443
# FTP - FileTransferProtocol (ftp / ftpdata)
iptables -A INPUT -j ACCEPT -p tcp -m tcp --dport 20
iptables -A INPUT -j ACCEPT -p tcp -m tcp --dport 21
.....
Zum Schluss noch eingehende Antworten von innen aufgebauter Verbindungen (Antworten auf ausgehende Verbindungen):
# Connection-Tracking
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
Jetzt könntest du noch alles loggen, was durchfällt:
# Alles was durchfällt wird geloggt
iptables -A INPUT -j LOG --log-prefix "Dropped by firewall: "
#
#
# Ende
Bei dem o.g. Beispiel kannst du sogar bis zum nächsten Neustart der Firewall temporär Regeln einfügen, die unten an das Script angefügt und ausgeführt werden, z.B.:
administrator@server:~$ iptables -I INPUT -j ACCEPT -s 86.24.0.0/16
Oder Löschen mit:
administrator@server:~$ iptables -D INPUT -j ACCEPT -s 86.24.0.0/16
Gruß
Frank M.
-
...da sie sowohl private als auch hochkonfidentelle Firmendaten enthaelt...
<klug-modus an>
...und eine Datensicherung nicht vergessen!!!
</klug-modus aus>
Gruß,
Frank M.
-
Hallo
Da die Frage unter "Datenbanken" steht, VERMUTE ich, dass die Daten in der Oracle Datenbank landen. Wie wäre es mit Datenbankreplikation? Alternativ nachts per Skript ein Dump erstellen und nach Polen schicken.
In dem Zusammenhang ist es natürlich wichtig zu erfahren, wie sieht die Prozedur aus und welche Anbindung (z.B. VPN) das Logistikzentrum hat.
Gruß,
Frank M.
-
Hallo king555
Zuerst wären ein paar andere Hinweise sehr hilfreich, um das Ganze im Zusammenhang zu sehen. Z.B. hat das Ganze jemals funktioniert? Das hast du ja schon beantwortet. Sind Änderungen vor der Zeile gemacht worden? Meines Wissens arbeitet der Filter die Konfiguration Zeile für Zeile ab. Trifft ein Ereignis zu, wird es ausgeführt und die Verarbeitung für dieses Paket beendet. Das heisst, ein "iptables -A INPUT ....... -j ACCEPT" VOR deiner Zeile würde alles erlauben und nachfolgende Zeilen nicht mehr beachten. Mir hat es immer geholfen, wenn ich mir ein sog. "Match-Packet" vorgestellt habe und damit iptables Zeile für Zeile durchgegangen bin.
Die Frage nach dem ganzen Zusammenhang ist deshalb wichtig, weil auch andere Faktoren mitspielen könnten. Ankommende IP's aus dieser Range sind zwar geblockt, aber was ist, wenn ausgegehende Verbindungen auf diese IP möglich sind und "Connection-Tracker" (.... -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT) aktiv ist? Also Antwortpakete auf neue oder bestehende Verbindungen durchgelassen werden?
Vielleicht konnte ich einen Anstoß geben
Viel Erfolg
Frank M.
-
Doch, voller Ernst !!
ohne hahaha
-
aus einem grund, den ich hier jetz nicht zu erwähnen brauche
Account ge'hackt? Unberechtigt angeeignet? Netzwerk ge'snifft? Egal...
Komisch, ich habe 1en und 2en in den Klausuren geschrieben, ohne zu betrügen.
Die 2 in der IHK Prüfung war auch ohne Spiekzettel oder abschreiben...
Ich helfe jedenfals nicht bei illegaler Schummelei.
Vielleicht versuchst du es mal mit lernen ?!?!
Viel Erfolg
Frank M.
*kopfschüttel*
-
Hi
Nennt mich ruhig einen ewig gestrigen, fortschrittsfeindlichen oder was auch immer. Ich kann mich mit der neuen Rechtschreibreform und dem Euro auch nicht anfreunden. An der Kasse sage ich absichtlich Mark und Pfennig.
Ob KiBiByte oder GiBiBaBuZeByte, für mich bleibt 1 Bit = 1 Bit und 8 Bit = 1 Byte
Im Gegensatz zum Analog-Modem, sollten bei ISDN die 64 KBit/s garantiert sein. Von Leitungsstörungen mal abgesehen.
Gruß,
Frank M.
Webseite fertig?
in Webdesign
Geschrieben
(<meta name="keywords" content="Software Magazine, Software, Programme," />)
Google-Suche nach "Software" = Ungefähr 4.170.000.000 Ergebnisse
Google-Suche nach "Programme" = Ungefähr 541.000.000 Ergebnisse
Google-Suche nach "Software Magazine" = Ungefähr 282.000.000 Ergebnisse
Ich konnte es mir nicht verkneifen :floet:
Allen einen guten Wochenstart
Gruß,
Frank M.